Conditional Access, também conhecido por Acesso Condicional, é uma estrutura que permite controlar quais dispositivos, usuários e grupos de usuários usando o TeamViewer Tensor (Classic) têm acesso a quais fontes de dados, serviços e aplicativos em sua organização.

Com o acesso condicional, os gerentes de TI e segurança da empresa podem supervisionar o acesso e o uso do TeamViewer em toda a empresa a partir de um único local.

  • As opções de reutilização ajudam os administradores a selecionar regras e criar opções de recursos para todos os controles de acesso.
  • As datas de expiração das regras de acesso condicional limitam o acesso de fornecedores terceirizados e mão de obra temporária.
  • Gerenciamento de regras centralizado no console de gerenciamento.
  • Atribua permissões para sessões remotas, transferência de arquivos e conexões de reunião.
  • Configure regras no nível da conta, grupo ou dispositivo.
  • A solução baseada em nuvem oferece maior flexibilidade do que uma abordagem local.

Este artigo se aplica a todos os clientes TeamViewer que possuem uma licença TeamViewer Enterprise/Tensor e um AddOn de Conditional Access ou Tensor Pro ou licenças Ilimitadas.

Pré-condições

As seguintes condições prévias são necessárias para poder configurar e usar o Acesso Condicional:

  • Licença ativada com o add-on Conditional Access
  • TeamViewer com a versão 15.5 ou superior
  • Um Perfil de Empresa já criado no Management Console
  • Saber o endereço DNS/IP do roteador dedicado

🚨O Conditional Access é um recurso de segurança e, portanto, nenhuma conexão é permitida inicialmente, assim que a verificação das regras é ativada!

Configuração do aplicativo TeamViewer e Firewall

Aplicativo

O aplicativo tem que ser configurado para entrar em contato com os roteadores dedicados, pois vamos bloquear o acesso aos roteadores habituais do TeamViewer no firewall com o próximo passo.

Windows

A configuração do registro pode ser feita executando o seguinte comando ou adicionando as chaves de registro através de uma importação.

Versão 32 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Versão de 64 bits:

reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\TeamViewer" /v "ConditionalAccessServers" /t REG_MULTI_SZ /d YOUR_ROUTER1.teamviewer.com\0YOUR_ROUTER2.teamviewer.com /f

Após reiniciar o serviço TeamViewer, o aplicativo não se conectará aos roteadores habituais, e sim a um dos roteadores dedicados.

macOS

Para definir os roteadores dedicados você tem que executar um dos seguintes comandos enquanto o TeamViewer não estiver rodando para definir a configuração de iniciar o TeamViewer com o sistema ou não.

# start with system
sudo defaults write /Library/Preferences/com.teamviewer.teamviewer.preferences.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com
# not starting with system
defaults write ~/Library/Preferences/com.teamviewer.teamviewer.preferences.Machine.plist ConditionalAccessServers -array YOUR_ROUTER1.teamviewer.com YOUR_ROUTER2.teamviewer.com

Linux

Para definir os roteadores dedicados você precisa alterar o arquivo global.conf e adicionar a seguinte entrada:

[strng] ConditionalAccessServers = "YOUR_ROUTER1.teamviewer.com" "YOUR_ROUTER2.teamviewer.com"

Reinicie o serviço TeamViewer após a edição do global.conf.

Firewall

Ajuste seu Firewall para bloquear os seguintes DNS-Entries:

  • master*.teamviewer.com
  • router*.teamviewer.com

Assim que esta configuração estiver ativa, os aplicativos que não obtiveram as informações para se conectar ao roteador dedicado não poderão mais fazer conexões. Isto é relevante para o bloqueio de aplicativos não autorizados do TeamViewer.

Primeiros passos

O Acesso Condicional estará funcionando como um mecanismo de regras, bem como Opções de Recurso no processo interno. Você pode gerenciar as regras e Opções de Recurso de forma centralizada no site do Management Console.

Após ter adquirido e ativado sua licença, você verá uma guia adicional no Management Console chamada Conditional Access.

Opções de Recurso

As Opções de Recurso dentro do Conditional Access permitem que você personalize suas regras, por exemplo, se certos usuários/grupos de usuários só devem ter direitos de acesso limitados ao se conectar a dispositivos específicos.

📌Lembrete: Se você quiser adicionar uma Opções de Recurso a suas regras, você precisa criar primeiro as Opções de Recurso. Se você não quiser usar as Opções de Recurso, você pode continuar lendo aqui.

Ao criar uma regra, as Opções de Recurso podem ser adicionadas à regra.

💡Dica: Uma opção define o nível de acesso durante uma conexão.

Adicione uma nova Opções de Recurso

As Opções de Recurso são criadas na guia Conditional Access do site Management Console. Para adicionar uma nova opção de recurso, por favor, siga os passos abaixo:

1. Navegue até Conditional Access ➜ Opções ➜ clique no botão +:

2. O diálogo Add Feature Option (Adicionar opção de recurso) será aberto. Aqui você poderá definir um nome para as Opções de Recurso e também definir exatamente o que deve e o que não deve estar disponível durante a conexão.

📌Lembrete: As opções que estão em uso pelas regras de Acesso Condicional não podem ser excluídas; uma mensagem de erro informa ao usuário que a opção está em uso.

No exemplo abaixo, cada configuração foi definida para Permitir:

Visão geral das opções

Todas as Opções de Recurso criadas para as regras de acesso condicional podem ser visualizadas no Management Console a qualquer momento. A filtragem e edição das Opções também são possíveis, basta clicar no ícone do lápis para editar as Propriedades.

📌Lembrete: Mais tipos de opções estarão disponíveis no futuro.

Hierarquia

Regras diferentes válidas para a mesma conexão

No caso de um usuário fazer parte de vários Grupos de Usuários que estejam usando diferentes regras de Acesso Condicional, as regras com a mais alta permissão definida estão tendo a mais alta prioridade.

Por exemplo, se uma regra permite a transferência de arquivos, mas outra regra não o permite, a transferência de arquivos será possível.

Opções de recursos vs. configurações locais

As Opções de Recurso para acesso condicional são complementares às configurações de controle de acesso no dispositivo.

Por exemplo, se as Opções de Acesso Condicional de uma regra permitem a transferência de arquivos, mas as configurações de controle de acesso no dispositivo não o permitem (seja definido via política ou localmente nas opções), a transferência de arquivos não será possível.

Adicionando regras

💡Dica: Uma regra define quem pode se conectar onde, quando e como.

Após navegar para a página de Acesso Condicional, você terá uma visão geral de todas as regras. Se nenhuma regra foi criada ainda, a página não mostra nenhuma regra.

Como mencionamos anteriormente, o Acesso Condicional parte do bloqueio inicial de tudo, o que também facilita a gestão das regras, pois não há possibilidade de regras contraditórias.

Ao clicar no botãopara adicionar uma regra, uma nova página aparecerá.

Você tem a possibilidade de adicionar DispositivosContasGruposGrupos GerenciadosGrupos de Usuários e Grupos de Diretórios tanto para o Tipo de origem como para o Tipo de destino.

Dependendo do que você escolher como Tipo de origem e Tipo de destino, você precisa escolher uma Fonte e um Fixe (Alvo) correspondentes. Por exemplo, um Grupo de Usuários específico caso você tenha escolhido Grupo de Usuários como Tipo de origem ou destino. Outro exemplo é a escolha de um usuário específico, caso você tenha selecionado Conta como Tipo de origem ou destino.

Alternativamente, se você escolher Todos, todos os Grupos de Usuários (ou outra fonte escolhida) serão adicionados.

💡Dica: Há preenchimento automático disponível ao digitar Fonte Alvo para todos os dispositivos e contas que estão em sua lista de Perfil de Empresa também são consideradas no auto-completamento.

📌Lembrete: Você ainda é capaz de adicionar dispositivos que não estão em sua lista de Computadores & Contatos, digitando a ID do TeamViewer. Com relação aos grupos, você só pode adicioná-los se você for o proprietário do grupo. Esta é uma medida de segurança.

Datas de expiração para regras de acesso condicional

Você pode adicionar uma data de expiração às regras de Acesso Condicional.

A funcionalidade de expiração é importante para qualquer cenário onde certos usuários do TeamViewer devem receber acesso a dispositivos específicos apenas por um tempo limitado:

  • Trabalho baseado em projetos
  • Estagiários, trabalhadores em tempo parcial, etc.
  • Substitutos, substituições e outros que ajudam por um tempo limitado

As datas de expiração podem ser definidas para novas regras e para as já existentes.

💡Dica: A Validade define de quando até quando a regra estará ativa.

As datas de expiração podem ser editadas a qualquer momento:

(Verde: criar um novo prazo. Laranja: editar os prazos já existentes. O tempo mostrado é UTC).

Vários prazos podem ser acrescentados a uma regra. O status de validade de todas as regras pode ser visto na visão geral:

Estados disponíveis:

  • nunca (sem prazo de validade),
  • programado (no futuro),
  • ativo (atualmente dentro do período de tempo),
  • expirado (no passado)

Habilite a verificação de regras

As regras adicionadas não são automaticamente ativadas.

Por favor, use Activate Conditional Access para garantir que somente as conexões permitidas pelas regras sejam possíveis e nada mais.

Block Meetings (Bloquear Reuniões) também está disponível. No entanto, este é um cenário de "tudo ou nada". Se ativado, todas as reuniões são bloqueadas. Sem exceções.